前言
我们将这个漏洞命名为“邪恶的常春藤”,因为它就像植物常春藤一样,几乎不可能被杀死并且传播起来很快。漏洞在被下载数百万次的第三方的工具包中,已经传播到数千台的设备,这将难以被消除。
邪恶的常春藤:一个影响数百万IoT设备的漏洞
Axis Communications 是全球最大的安全网络摄像头制造商之一,在上周研究M3004型号的安全摄像头的时候,我们发现了一个堆栈缓冲区溢出漏洞(CVE-2017-9765),我们称它为“邪恶的常春藤”,这个漏洞可以造成远程代码执行,允许攻击者远程访问视频、阻止摄像头所有者访问摄像头的视频。由于安防摄像头一般为了安装在一些重要的地方,比如说是银行大厅,那么这将导致一些敏感信息被收集。Axis确认有249种不同型号的摄像头受该漏洞影响并做了修复,一旦可以确认修复可以阻止该漏洞的攻击,Axis将会快速发布修复固件,并提示合作伙伴和用户进行升级。
这个漏洞的危害远不止Axis的一些设备
在某种程度上说这个漏洞可能会影响数千万种产品——软件产品和可连接的设备
“邪恶的常春藤”这个漏洞在开源的第三方代码库gSOAP中同样存在。gSOAP是一个使用广泛的Web Serice工具包。gSOAP被来自世界各地的开发工程师使用并作为软件中的一部分,主要用于各种设备在互联网上的通信。那么依赖gSOAP的软件以及硬件设备都有可能会受到这个漏洞的影响,具体哪些设备会被漏洞利用这个时候我们无法确定。据我们已有的研究,服务器端很可能可以被利用,如果客户端可以接受来自恶意服务器的SOAP信息,那么客户端很可能也受这个漏洞的影响。
为了进一步了解这个漏洞的严重程度和范围,我们联系了Genivia(管理维护gSOAP的公司)。Genivia表示gSOAP有超过1,000,000的下载量,IBM、Microsoft、Adobe和Xerox等知名公司都是使用gSOAP的客户。在Sourceforge(国外的软件下载站)上gSOAP一周之内被下载了1000多次,就2017年就有将近30000次下载量。一旦gSOAP 被添加到公司的代码仓库中,它将会多次被使用到不同的产品线上。Genivia随即发布了一个补丁 。
此外,Axis 是ONVIF论坛(开放型网络视频接口论坛)的一个负责维护软件和网络协议公司,这些协议通用与各家公司的的硬件安全产品上。论坛依赖SOAP支持开放型网络视频接口规范,大约有6%的成员使用了gSOAP。Axis 已将漏洞相关的信息同步给论坛的所有成员,如有使用gSOAP,确保可以快速去开发补丁。
演示视频
安全建议
1.不要将安全设备放置在公网中
截至7月1日,shodan上可以检索到14,700 在公网上的安防摄像头,这些摄像头都有可能被该漏洞利用。最好将这些摄像头接入到专门的网络中,这将会加大利用难度。
2.尽可能的去保护物联网设备
可以在物联网设备前放置防火墙或者其他防御设备,或者可以使用NAT方式网络接入,这些都可以减少暴露被攻击。
3.打补丁
制造商发布补丁之后,请尽快更新补丁到设备上。